Aufgrund zahlreicher Hinweise und Beschwerden von Betroffenen und Medienvertretern aus ganz Deutschland hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) die Parkraumüberwachung eines entsprechenden Überwachungsnternehmens (Verantwortlicher) überprüft. Dazu musste der Verantwortliche alle Fragen der Behörde zum Verständnis relevanter technischer und tatsächlicher Prozesse beantworten. Der Verantwortliche beantwortete die gestellten Fragen jedoch nicht zufriedenstellend, weshalb eine Prüfung aufgrund mangelnder Nachvollziehbarkeit der Funktionsweise des Parkraumüberwachungssystems vorerst nicht möglich war. Das Unternehmen wurde deshalb zunächst wegen Verstoßes gegen die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zu einer beabsichtigten Untersagung er Überwachung aufgrund fehlender Überprüfbarkeit angehört, sowie hinsichtlich der unterbliebenen angemessenen Mitwirkung gemäß Art. 31 DSGVO bis zur vollständigen Offenlegung der Funktionsweise des Systems ein Ordnungswidrigkeitsverfahren eingeleitet.

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) wird umbenannt. Hintergrund ist die sprachliche Anpassung des Wortes „Telemedien“. Diese heißen nun „digitale Dienste“. Dementsprechend wird das Gesetz in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz umbenannt, kurz TDDDG. Das Gesetz regelt den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten.

Darüber hinaus wird das Telemediengesetz (TMG) durch das Digitale-Dienste-Gesetz (DDG) ersetzt. Das DDG gilt für alle Online-Diensteanbieter und betrifft somit fast jeden Webseitenbetreiber.

Sofern die Gesetze in der Datenschutzerklärung und im Impressum angegeben sind, ist die Bezeichnung zu ändern. Es besteht jedoch keine gesetzliche Pflicht zur Angabe des Paragraphen. Inhaltlich hat sich nichts geändert.

Beim mobilen Arbeiten, wie im Homeoffice sind die datenschutzrechtlichen Vorgaben des Arbeitgebers einzuhalten. Da die Arbeitnehmer im Rahmen Ihrer Arbeitstätigkeit auch im Homeoffice auf Weisung des Arbeitgebers handeln, bleibt der Arbeitgeber datenschutzrechtlich verantwortlich. Daher muss dieser auch für die mobile Arbeit technische und organisatorische Maßnahmen, wie beispielsweise „Mobile Working Vereinbarungen“, treffen, um die Einhaltung datenschutzrechtlicher Vorgaben zu gewährleisten.

Grundsätzlich sollte darauf verzichtet werden, physische Dokumente oder Datenträger mit personenbezogenen Daten mit nach Hause oder andernorts mitzunehmen oder dort anzufertigen. Sofern dies unbedingt nötig sein sollte, ist darauf zu achten, dass Dritte, auch Familienmitglieder oder Mitbewohner, keinen Zugang zu den Daten haben und die Daten nicht einsehbar sind. Zumindest muss die Verwahrung in einem verschließbaren Schrank gewährleistet werden. Eine Entsorgung der personenbezogenen Daten im Hausmüll oder öffentlichen Müllbehältern ist untersagt. Die Dokumente und Dateien müssen datenschutzkonform vernichtet werden, z.B. durch professionelle Aktenvernichtung oder durch Entsorgung über die dafür vorgesehenen Wege im Büro. Der Laptop ist mindestens mit einem Kennwortschutz zu schützen – besser: durch Zwei-Faktor-Authentifizierung. Auch bei kurzer Inaktivität am Laptop sollte die Bildschirmsperre aktiviert werden.

Wird für die Arbeit der Zugriff auf das Firmennetzwerk benötigt, sollten Arbeitgeber dies mittels VPN-Verbindung ermöglichen. Zudem sollte keine lokale Speicherung von vertraulichen Daten auf dem Laptop selbst erfolgen, sondern nur auf den Servern des Firmennetzwerks. Auch effiziente Firewalls und Antivirensoftwares sollten arbeitgeberseitig zur Verfügung gestellt werden. Updates sind gegebenenfalls selbst vorzunehmen.

Die sogenannte KI-Verordnung kommt. Das Gesetz über künstliche Intelligenz soll für die Sicherheit und die Achtung der Grundrechte bei der Nutzung von KI innerhalb der EU sorgen und Innovationen fördern. Dabei legt die Verordnung Verpflichtungen für KI-Systeme fest und verbietet bestimmte KI-Anwendungen, wie beispielsweise Emotionserkennungssysteme am Arbeitsplatz.

Wer KI im Unternehmen einsetzen möchte hat die Pflichten diese Verordnung, die mit hohem Aufwand einhergehen, zu beachten. 

Verstöße gegen diese Verordnung sind wie in der Datenschutzgrundverordnung mit hohen Bußgeldern belegt. Bei Zuwiderhandlung kann die EU-Kommission Geldbußen von bis zu 7 % des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr oder 35 Mio. € verhängen.

Die Verordnung wird in den nächsten zwei Wochen im Amtsblatt veröffentlicht. Die Verordnung tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft und ist – bis auf einige Ausnahmen – 24 Monate nach ihrem Inkrafttreten uneingeschränkt anwendbar. Regelungen für Allzweck-KI werden höchstwahrscheinlich im Juni 2025 anwendbar sein.

Neben europäischen Ländern erlassen auch immer mehr andere Länder Regelungen bezüglich des internationalen Datentransfers. Seit Dezember 2023 sind beispielsweise Unternehmen, die unter das chinesische Datenschutzrecht fallen, verpflichtet die chinesischen Standardvertragsklauseln (SCC) zu nutzen. Werden Daten aus China an einen Datenempfänger außerhalb Chinas transferiert, so müssen die chinesischen SCC vorliegen, sofern kein anderer Transfermechanismus (Zertifizierung oder Sicherheitsbewertung) vorliegt. Die chinesischen SCC gelten grundsätzlich für jeden Transfer personenbezogener Daten aus China in andere Länder, unabhängig von der Rolle des Empfängers (Verantwortlicher oder Auftragsverarbeiter) und unabhängig davon, ob es sich um ein Konzernunternehmen oder einen Dritten handelt. Die SCC können jedoch weiterhin nur unter bestimmten Voraussetzungen zum Einsatz kommen.

Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft („DPA“) für den Einsatz von „Microsoft 365“ erarbeitet.

Die vorgegebene Auftragsverarbeitungsvereinbarung von Microsoft entspricht in Ihrer derzeitigen Form nicht den Anforderungen des Art. 28 Abs. 3 DSGVO. Die von den Aufsichtsbehörden erarbeitete Handreichung soll den datenschutzechtlich Verantwortlichen helfen, die Problemfelder zu erkennen und auf vertragliche Änderungen hinzuwirken.

Die Handreichung kann hier abgerufen werden: https://www.lfd.niedersachsen.de/download/199434

Der Europäische Datenschutzausschuss (EDSA) hat eine europaweite Aktion „Coordinated Enforcement Framework“ (CEF) gestartet. Im Rahmen dieser Aktion wird die Umsetzung des Auskunftsrechts untersucht. Insgesamt 30 Datenschutzbehörden im gesamten europäischen Wirtschaftraum nehmen an der Aktion teil. Hierzulande nehmen der LfD Niedersachsen sowie die Aufsichtsbehörden aus Bayern, Brandenburg, Mecklenburg-Vorpommern, Rheinland-Pfalz, dem Saarland und Schleswig-Holstein sowie des Bundes teil.

Ziel der Aktion ist es, zu beurteilen, wie Organisationen das Auskunftsrecht aus Art. 15 DSGVO in der Praxis umsetzen und inwiefern Hilfestellungen des EDSA oder der Datenschutzbehörden verbessert werden könnten. 

Zur Kontrolle werden Fragebögen an Organisationen in den teilnehmenden Mitgliedsstaaten verschickt. Im Anschluss können Untersuchungen bei vermuteten Missständen eingeleitet werden.

Zur datenschutzkonformen Bearbeitung von Auskunftsanfragen gibt der EDSA wichtige Informationen in seinen Guidelines (EDSA). Diese finden Sie unter https://edpb.europa.eu/system/files/2023-04/edpb_guidelines_202201_data_subject_rights_access_v2_en.pdf.

KI-Anwendungen wie Chatbots haben Einzug in Unternehmen gehalten. Der datenschutzrechtliche Umgang mit der KI war bislang ungeklärt. Nun hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) eine Orientierungshilfe zum Thema „Künstliche Intelligenz und Datenschutz“ herausgegeben.

Mit der Orientierungshilfe legt die DSK datenschutzrechtliche Kriterien für die Auswahl und den datenschutzkonformen Einsatz von KI-Anwendungen vor.

Die Orientierungshilfe richtet sich an den datenschutzrechtlich Verantwortlichen und mittelbar auch an Entwickler, Hersteller und Anbieter von KI-Systemen. Sie gibt nun die Erwartungshaltung der Aufsichtsbehörden an den Einsatz von KI im Unternehmen vor.

Die Orientierungshilfe finden Sie unter https://www.datenschutzkonferenz-online.de/orientierungshilfen.html.

EuGH Urteil vom 05.12.2023

Um beurteilen zu können, ob die juristische Person „Deutsche Wohnen SE“ ein Bußgeld in Höhe von 14 Mio. EUR zahlen muss, hat sich das Kammergericht Berlin im Rahmen eines Vorabentscheidungsersuchens mit zwei Fragen an den EuGH gewandt. Die Deutsche Wohnen SE hatte trotz mehrfacher Aufforderung einer Aufsichtsbehörde die entsprechenden Mieterdaten nicht gelöscht. Gemäß Art. 83 Abs. 2 lit. b DSGVO soll bei der Verhängung von Bußgeldern unter anderem der Aspekt des Vorsatzes bzw. der Fahrlässigkeit berücksichtigt werden. Fraglich war zum einen, ob ein Bußgeld auch verhängt werden darf, wenn trotz des Fehlens von Vorsatz/Fahrlässigkeit andere Voraussetzungen des Art. 83 Abs. 2 DSGVO vorliegen, was der EuGH mit dem Urteil vom 05.12.2023 (C-807/21) verneinte. Es muss ein schuldhafter Verstoß vorliegen, damit eine Geldbuße von der Aufsichtsbehörde verhängt werden darf.           
Zum anderen war fraglich, ob für die Sanktionierung einer juristischen Person der Umweg über das Gesetz über Ordnungswidrigkeiten (OWig) gegangen werden muss oder ob diese auch direkt über die DSGVO sanktioniert werden können. Gemäß Art. 4 Nr. 7 DSGVO können sowohl natürliche als auch juristische Personen Verantwortliche im datenschutzrechtlichen Sinne sein. Entsprechend sind in Bezug auf Art. 83 Abs. 3 DSGVO bei „Verstößen von Verantwortlichen“ auch die Verstöße von juristischen Personen mitinbegriffen. Der Verantwortliche, der eine juristische Personen sein kann, kann demnach nicht nur für Verstöße von Unternehmensvertretern, Leitungspersonal, Geschäftsführern und Auftragsverarbeitern sondern auch direkt für Verstöße von jedem Mitarbeiter sanktioniert werden. Es kommt bei der Verhängung von Bußgeldern nicht darauf an, dass Leitungspersonal von entsprechenden Verstößen Kenntnis hatte.

Bußgeld wegen der unrechtmäßigen Weitergabe personenbezogener Daten

Die tschechische Datenschutzbehörde (UOOU) hat gegen das Cybersicherheitsunternehmen Avast Software s.r.o. und Avast Limited ein Bußgeld in Höhe von umgerechnet etwa 14 Mio. € verhängt.

Infolge von Medienberichten ergab eine Untersuchung der Behörde, dass Avast personenbezogene Daten der Benutzer seiner Antivirensoftware und seiner Browsererweiterungen unrechtmäßig, also ohne datenschutzrechtliche Rechtsgrundlage, an ein Schwesterunternehmen weitergegeben hatte. Darunter waren pseudonymisierte Internetbrowser-Verläufe mit einer eindeutigen Kennung von rund 100 Millionen Benutzern.

Avast hat seine Nutzer zudem irreführend informiert, indem das Unternehmen behauptete, dass die übermittelten Daten anonymisiert seien und ausschließlich für statistische Trendanalysen verwendet werden würden.

Die Datenschutzbehörde stellte klar, dass selbst unvollständige Internetbrowser-Verläufe als personenbezogene Daten gelten können, da Personen identifiziert werden könnten.

Auch wird hier nochmal deutlich, dass auch die konzerninterne Weitergabe personenbezogener Daten von einem datenschutzrechtlichen Erlaubnistatbestand gedeckt sein muss und die Erfüllung der Informationspflichten gegenüber den betroffenen Personen geprüft werden muss.

Bußgelder wegen nicht erfülltem Löschanspruch

Die italienische Datenschutzbehörde verhängte gegen eine der größten Einzelhandelsketten in Italien ein Bußgeld in Höhe von 90.000 €, da sie nicht auf eine Löschbitte einer betroffenen Person nicht nachkam, sondern lediglich mit einer Eingangsbestätigung reagierte.  Der betroffenen Person wurden auch nach dem Löschersuchen weiterhin Werbenachrichten zugesendet. Auf eine erneute Löschungsaufforderung reagierte das Unternehmen gar nicht.

Bußgeld wegen Abfrage von personenbezogenen Daten mit vorausgefülltem Dokument ohne Widerspruchsmöglichkeit

Die spanische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 1,2 Mio. € gegen eine spanische Privatkundenbank.

Ein Kunde hatte sich bei der Datenschutzbehörde beschwert, weil die Bank von ihm eine Reihe von Daten angefordert hatte. Dies tat sie mittels eines bereits mit personenbezogenen Daten vorausgefüllten Dokuments, welches er unterschrieben sollte. Dieses Dokument enthielt zudem eine Klausel, nach welcher sich der Kunde bereiterklärte, das die Bank seine Daten bei der Sozialversicherungskasse anforderte. Eine Möglichkeit, dies abzulehnen, gab es nicht. Nach einer Beschwerde des Kunden bei der Bank drohte diese mit einer Sperre des Bankkontos.

Das ursprüngliche Bußgeld in Höhe von 2 Mio EUR wurde aufgrund von Schuldeingeständnis und freiwilliger Zahlung auf 1,2 Mio. € reduziert.

Bußgeld wegen unzureichendem Schutz der Systeme

Bei der griechischen Post kam es zu einem Ransomware-Angriff bei dem die personenbezogenen Daten von mehr als 4 Mio. Personen betroffen waren.

Bei einem Ransomware-Angriff werden die Daten auf einem IT-System verschlüsselt und eine Entschlüsselung erst gegen Zahlung eines Lösegeldes (engl. Ransom) in Aussicht gestellt. In diesem Fall wurde zudem ein Teil der Daten im Darknet veröffentlicht. Ein solcher Angriff bewirkt, dass Dienstleistungen und Geschäftsprozesse nicht mehr zur Verfügung gestellt werden können und die IT des Betroffenen zum Erliegen kommt.

Der Zugang zu den Daten der Post-Mitarbeiter, Führungskräfte, Kunden und Kreditunternehmen war über eine Sicherheitslücke erfolgt, welche zwar erkannt und auch bereits seit geraumer Zeit über Sicherheitsupdates geschlossen worden war. Allerdings stellte sich heraus, dass die Sicherheitssysteme nicht funktionierten. Es wurden zwar Backups erstellt, jedoch waren diese ungesichert auf anderen, nicht angegriffenen Teilen des Systems abgelegt worden. Die Post hatte also keine ausreichenden technischen Maßnahmen zum Schutz der Systeme getroffen und auch die Systeme nicht regelmäßig auf ihre Funktionalität getestet.

Die Datenschutzaufsichtsbehörde Griechenlands verhängte ein Bußgeld in Höhe von 2,99 Mio. €.

Bußgeld wegen unzureichender technischer und organisatorischer Maßnahmen

Das Unabhängiges Datenschutzzentrum Saarland verhängte ein Bußgeld in Höhe von 200.000 € gegen ein Versicherungsunternehmen, nachdem es wegen einer Sicherheitslücke zu einem Datenschutzvorfall gekommen war. Grund für die Sicherheitslücke waren auch hier nicht dem Risiko angemessene technische und organisatorische Maßnahmen zum Schutz der Daten

magnifiercrossmenu